fbpx

VERWERKERSOVEREENKOMST

 

Partijen:

 

  1. Sportcentrum Alblasserwaard gevestigd te Sliedrecht, ingeschreven bij de Kamer van Koophandel onder nummer: 68401132 of BTW nummer: NL857424269B01 hierna te noemen: “Verantwoordelijke”, “U” of “ Uw”, ten deze rechtsgeldig vertegenwoordigd door Karim Khushiwal,

 

  1. Control Plus International V., kantoorhoudende te Scherpenzeel, ingeschreven bij de Kamer van Koophandel onder nummer 50180517 hierna te noemen: “Verwerker”, “Wij”, “Ons” of “Onze”, te dezen (indirect) vertegenwoordigd door de heer M.N. Hilhorst;

 

hierna gezamenlijk aangeduid als “ Partijen”, “We” of “ Wij GezamenlijkOverwegingen:

  1. Wij zijn met U via onze website https://controlplus.org een overeenkomst (de “Onderliggende overeenkomst ”) aangegaan op grond waarvan U gebruik maakt van onze programmatuur (“de Software”) voor

 

  1. Relaties/klanten (Betrokkenen) van Uw onderneming kunnen zelf een account aanmaken en daarbij hun gegevens invoeren en zo nodig

 

  1. De Software en alle door U of Uw leden ingevoerde data is opgeslagen bij een derde (serverbeheerder).

 

  1. Indien en voor zover wij aan U supportdiensten verrichten, is het mogelijk dat wij Persoonsgegevens Het gaat dan om de Persoonsgegevens die zijn opgenomen in de ledenadministratie.

 

  1. Wij zijn – vanwege het uitvoeren van deze Onderliggende overeenkomst én met betrekking tot de Persoonsgegevens die Wij hierbij zullen Verwerken – aan te merken als “Verwerker” en U als “Verantwoordelijke”. In deze Overeenkomst leggen We onze wederzijdse rechten en verplichtingen

 

Partijen komen het volgende overeen: 1. Definities

In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven.

 

Betrokkene:                             Degene op wie een Persoonsgegeven betrekking heeft.

 

Verwerker:                               Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

 

Sub-verwerker:                         Een andere verwerker die door de Verwerker wordt

ingezet om ten behoeve van de Verwerkingsverantwoordelijke                                                               specifieke verwerkingsactiviteiten te verrichten.

 

 

Verwerkingsverantwoordelijke/ Verantwoordelijke:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

 

Bijzondere Persoonsgegevens:     Dit zijn gegevens waaruit ras of etnische afkomst,

 

 

 

 

 

 

 

 

 

 

 

Datalek / Inbreuk in verband met persoonsgegevens:

politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

 

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

 

 

Derden:                                   Anderen dan U en Wij en Onze Medewerkers.

 

Meldplicht Datalekken:                De verplichting tot het melden van Datalekken aan de

Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).

 

Medewerkers                            Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

 

Onderliggende overeenkomst:     De   overeenkomst    zoals   hierboven   bedoeld    in       de overwegingen onder A.

 

Overeenkomst:                         Deze verwerkersovereenkomst.

 

Persoonsgegevens:                    Alle     informatie     over     een    geïdentificeerde      of

identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende overeenkomst” worden verwerkt; het gaat dan om alle data die U of uw leden (de Betrokkene) invoeren en opslaan. In de regel zal het gaan om naam, geslacht, adres, postcode, woonplaats, telefoonnummer, emailadres, IBAN nummer, opmerkingen, emails en communicatie, reserveringen, agenda-afspraken, bezoekregistratie, documenten, trainingsprogramma.

 

 

Persoonsgegevens van gevoelige aard

Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude.

 

Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:

 

 

Bijzondere persoonsgegevens

 

Gegevens    over  de   financiële   of economische situatie van de Betrokkene

 

(Andere)    gegevens     die    kunnen    leiden                tot stigmatisering of uitsluiting van de Betrokkene

 

Gebruikersnamen,    wachtwoorden     en                             andere inloggegevens

 

Gegevens    die   kunnen   worden   misbruikt                 voor (identiteits)fraude

 

Software

 

Verwerken / Verwerking:

De Software van Ons, zijnde de ledenadministratie.

 

Onze verwerking beperkt zich tot het opslaan van de data die wordt ingevoerd in de Software en het ter beschikking stellen van deze data aan U en uw leden (de Betrokkene). Als we op Uw verzoek support verlenen zie we mogelijk voor beperkte duur persoonsgegevens in of helpen wij u met invoer of wijziging van persoonsgegevens.

 

 

AVG                                        Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening.

 

2.  Toepasselijkheid en looptijd

 

  • Deze Overeenkomst is van toepassing op iedere Verwerking die door Ons als Verwerker wordt gedaan op basis van de Onderliggende overeenkomst, gesloten met U als

 

  • Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende overeenkomst van kracht is en eindigt op het moment dat Wij geen Persoonsgegevens meer onder ons hebben die wij in het kader van de Onderliggende Overeenkomst voor u Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.

 

  • Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende overeenkomst) is geëindigd.

 

3.  Verwerking

 

  • Wij Verwerken de Persoonsgegevens uitsluitend door data op te slaan en op Uw verzoek support te verlenen, conform de Onderliggende Dit Verwerken doen Wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende overeenkomst. De Verwerking vindt plaats volgens Uw schriftelijke instructies, tenzij Wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen. Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij U daarvan onmiddellijk in kennis.

 

  • De Verwerking vindt plaats onder Uw Wij hebben geen zeggenschap over het doel en de middelen van de Verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor u verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. U moet ervoor zorgen dat U het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Ons. Als Wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften met betrekking tot Verwerking van Persoonsgegevens, dan leven Wij deze verplichtingen na.

 

  • U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.

 

  • Wij zorgen ervoor dat alleen Onze Medewerkers toegang hebben tot de De uitzondering hierop is opgenomen in artikel 3.5. Wij beperken de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

 

  • Wij schakelen een subverwerker in voor de opslag van digitale

 

  • Wij kunnen andere verwerkers (Sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende overeenkomst, bijvoorbeeld als deze Sub- verwerkers over specialistische kennis of middelen beschikken waarover Wij niet beschikken. Als het inschakelen van Sub-Verwerkers tot gevolg heeft dat deze Persoonsgegevens gaan Verwerken dan

 

zullen wij die Sub-Verwerkers (schriftelijk) de verplichtingen uit deze Overeenkomst opleggen. Met ondertekening van deze Overeenkomst geeft u toestemming voor het inschakelen van de Sub-

 

Verwerkers.

 

  • Voor zover mogelijk verlenen Wij U bijstand bij het vervullen van Uw verplichtingen om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Wij (rechtstreeks) verzoeken ontvangen van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zenden Wij deze verzoeken door naar U handelt deze verzoeken zelf af, waarbij Wij U natuurlijk behulpzaam kunnen zijn als Wij in het kader van de Onderliggende overeenkomst toegang hebben tot deze Persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.

 

  • Wij zullen de Persoonsgegevens alleen Verwerken binnen de Europese Economische Ruimte, tenzij Wij hierover met U andere afspraken hebben

 

  • Als Wij een verzoek krijgen om Persoonsgegevens ter beschikking te stellen dan doen Wij dit alleen als het verzoek is gedaan door een daartoe bevoegde Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen Wij U op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor U mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Wij U op de hoogte mogen stellen dan zullen Wij ook met U overleggen over de wijze waarop en welke gegevens Wij ter beschikking zullen stellen.

 

4.  Beveiligingsmaatregelen

 

  • Wij hebben de beveiligingsmaatregelen genomen die zijn genoemd in de Bijlage die bij deze Overeenkomst Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

 

  • U heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Wij hebben genomen en bent van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de

 

  • Wij informeren U als een van de beveiligingsmaatregelen substantieel

 

  • Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als U de wijze waarop Wij de beveiligingsmaatregelen naleven wilt laten inspecteren, dan kunt U hiertoe een verzoek aan Ons Wij zullen hierover Gezamenlijk met U afspraken maken. De kosten van een inspectie zijn voor Uw rekening. U stelt aan Ons een kopie van het inspectierapport ter beschikking.

 

5.  Datalekken

 

  • Als er sprake is van een Datalek dan stellen Wij U daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit Datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door Onze Sub-verwerkers zijn geïnformeerd. Nadere afspraken over de wijze waarop zijn opgenomen in artikel 11 van deze Overeenkomst. Wij zullen U daarbij voorzien van de informatie die U redelijkerwijs nodig heeft om – indien nodig – een juiste  en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de Betrokkene(n) in het kader van de Meldplicht Datalekken q. wij zenden de melding van onze Sub-bewerker aan u door. Ook van de door Ons, of onze Sub-bewerker, naar aanleiding van het Datalek genomen maatregelen houden Wij U op de hoogte.

 

  • De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd Uw eigen

 

  • Het (bij)houden van een register van Datalekken is altijd Uw eigen

 

6.  Geheimhoudingsplicht:

 

  • Wij houden de van u verkregen Persoonsgegevens geheim en verplichten Onze Medewerker en eventuele Sub-verwerkers ook tot

 

7.  Aansprakelijkheid

 

  • U staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

 

  • Wij zijn niet aansprakelijk voor schade die het gevolg is van het door U niet naleven van de AVG of andere wet- of regelgeving. U vrijwaart ons ook voor aanspraken van Derden op grond van zulke De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Ons worden opgelegd ten gevolge van Uw handelen.

 

  • De in de Onderliggende overeenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van Onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende overeenkomst nimmer tot overschrijding van de beperking kan

 

8.  Overdraagbaarheid Overeenkomst

 

  • Het is voor U behalve als Wij Gezamenlijk schriftelijke anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een

 

9.  Beëindiging en teruggave/ vernietiging Persoonsgegevens

 

  • Als de Onderliggende overeenkomst wordt beëindigd dan zal de data die is opgeslagen in de software niet meer toegankelijk Data wordt dan gewist, met dien verstande dat wij uitsluitend de Persoonsgegevens bewaren als Wij hiertoe op grond van wet- of regelgeving verplicht zijn.

 

  • De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende overeenkomst zijn voor Uw Als U daarom vraagt dan geven Wij U vooraf een kosteninschatting.

 

10.  Aanvullingen en wijziging Overeenkomst

 

  • Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

 

  • Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of uw eisen kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Onderliggende overeenkomst, of wanneer Wij niet kunnen voorzien in een passend niveau van bescherming, kan dit voor Ons reden zijn om de Onderliggende overeenkomst te beëindigen.

 

11.  Slotbepalingen

 

  • Op Uw verzoek stellen Wij U alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Wij maken audits mogelijk, waaronder inspecties, door U of een door U gemachtigde controleur en dragen eraan De kosten van dergelijke verzoeken, audits of inspecties zijn voor Uw rekening. Ook eventuele audits bij Onze Sub-bewerkers zijn voor Uw rekening.

 

  • Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.

 

  • Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze

 

  • Deze Overeenkomst is hoger in rang dan andere door Ons met U gesloten Als U algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in Onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.

 

  • Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Wij treden dan met U in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig

 

  • Mededelingen in het kader van deze Overeenkomst (inclusief mededelingen in het kader van artikel 5 – Datalekken) zullen door U worden gedaan via Onze supportdesk en door Ons worden gedaan aan de ondertekenaar van deze Overeenkomst. Als de gegevens van de ondertekenaar veranderen, of deze vervangen wordt door een andere Medewerker, dan licht U ons daarover

 

Ondertekening

 

Ondertekend op 22 mei 2018 10:46 Namens deze:

M.N. Hilhorst

 

Control Plus International BV Namens deze:

Karim Khushiwal Sportcentrum Alblasserwaard Bijlage

Technische en organisatorische beveiligingsmaatregelen

 

Wij nemen de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige Verwerking:

 

Programmatuur:

 

Alle dataverkeer loopt over een met SSL – RSA 4096 bits (SHA256withRSA) beveiligde verbinding. Op de lokale computer van de gebruiker worden geen persoons of andere gegevens opgeslagen. De opgeslagen persoonsgegevens worden opgeschoond als de beoogde bewerking is voltooid. De gebruikersauthenticatie verloopt door een 2-factor authenticatie via mail. Indien de eindgebruiker 3x het verkeerde wachtwoord ingeeft wordt deze gebruiker uitgesloten van het systeem. De Programmatuur is toegankelijk vanaf eender welke locatie. De Programmatuur is beschikbaar gesteld vanaf een Cluster Server in de datacenters van BIT en Interconnect in Nederland. Bij password guessing wordt alsook het Extern IP-adres waarvan de poging wordt uitgevoerd definitief geblokkeerd in de firewall. Dagelijks worden logs bijgehouden van alle handelingen die worden uitgevoerd via de Programmatuur.

 

ASP:

 

Onze ASP Diensten worden aangeboden vanuit verschillende virtuele machines die operationeel zijn vanaf een Cluster server. Deze Cluster server is voorzien van een firewall. Elke afzonderlijke virtuele machine beschikt ook nog eens over een eigen firewall. Toegang tot het clusterplatform is enkel toegankelijk vanaf een gekend extern IP-adres. Het beheerplatform werkt met een 2-weg authenticator. Alle admin gebruikers die toegang hebben zijn geregistreerd met naam en extern IP-adres en werken verplicht met een 2-weg authenticatie.

 

RDP-verbindingen lopen via een RDP-gateway server. Deze is beveiligd dmv een SSL certficaat. De servers zijn voorzien van een RDP guard. Deze blokkeert automatisch inkomende verbindingen bij password guessing of 2 verschillende aanmeldpogingen. Hierbij wordt het extern IP-adres van de poging geblokkeerd in de firewall. Al onze servers maken ook gebruik van strenge wachtwoord policy’s.

 

Elke 30 dagen worden alle servers voorzien van de laatste updates en beveiligingspatches. Alle servers worden elke nacht zowel lokaal als of-site gebackupped. De backup retentie bedraagt 14 dagen.

 

Handtekeningsinformatie

Tijdzone: Europe

 

 

Ontvanger

 

Naam Karim Khushiwal

E-mailadres info@sportcentrumalblasserwaard.nl

IP adres 80.101.94.1

Getekend op 22 mei 2018 10:46

 
  

 

 

 
  

 

Documentgeschiedenis (Audit trail)

Uniek document ID : ZkjUptAKiPta3U2BIVyi0ZtY2sors72hX8TO6Ugt70SVtlKURXIMpfxliZKsykCj2

 

22 mei 2018 10:46

 

AVG overeenkomst ondertekend door: Karim Khushiwal, info@sportcentrumalblasserwaard.nl, 22 mei 2018 10:46

AVG overeenkomst geopend op: Karim Khushiwal, info@sportcentrumalblasserwaard.nl, 22 mei 2018 10:46

AVG overeenkomst per mail verzonden aan: Karim Khushiwal, info@sportcentrumalblasserwaard.nl, 22 mei 2018 10:46